5億人のLinkedInユーザーが売りに出されています。 ESETは、データの漏洩について警告し、LinkedInの専門家を標的とし、偽の求人を誘惑として使用するフィッシングキャンペーンについて警告します。
5億人のLinkedInユーザーが売りに出されている
Facebookの事件とハッキングフォーラムでの5億3300万人のユーザーの個人データの開示で数日前に起こったことと同様に、ESETはこの種のフォーラムでのマーケティング、5億人のLinkedInユーザーのデータについて警告しています。
この情報は4つのファイルを通じて提供されており、氏名、性別、メールアドレス、電話番号、職場と職務の説明データ、LinkedInプロフィールへのリンク、その他のソーシャルネットワークへのリンクが含まれています。
さらに、フォーラム内で2ドルのクレジットと引き換えにサンプルファイルが提供されています。 このサンプルには200万人のユーザーのデータが含まれていますが、完全な情報を取得するには、最低価格が1000を超えているようです。データを販売しているアクターはLinkedInから抽出されたと主張していますが、データが最新かどうかは不明です。または、ソーシャルネットワークが以前に受けた侵害から取得されたかどうか。
「今週Facebookのデータ開示が知られるようになったときに述べたように、この情報は悪意のある攻撃者によってソーシャルエンジニアリング攻撃を実行するために使用される可能性があります。 たとえば、潜在的な被害者の特定のデータを含むパーソナライズされたフィッシングメールは、正当なものであることを納得させ、被害者のIDを偽装し、複製されたアカウントを作成して連絡先をだまそうとします。 この意味で、電話番号を使用して、SMSメッセージを送信したり、WhatsAppを介して通信したり、電話詐欺を実行したりすることもできます」と、ESETのスペシャリストであるJosepAlbors氏は説明します。
LinkedInの専門家を対象とし、偽の求人をルアーとして使用するフィッシングキャンペーンが最近警告されました。 偽のメッセージには悪意のあるZIPファイルが含まれており、潜在的な被害者にそれを開いて、GoldenChickensによって作成されたより多くの卵のバックドアを被害者のコンピュータにダウンロードするように説得しようとします。 この同じバックドアは、過去1年間に、EvilnumなどのAPTグループによって、金融会社を標的とした攻撃で配布されました。
犯罪者が被害者に連絡するためにLinkedInを使用することは新しいことではありません。 昨年、ESETは、他のスパイグループがLinkedInを介してソーシャルエンジニアリングを使用して軍事および航空宇宙企業に攻撃を仕掛けた方法を警告しました。 「したがって、このタイプの情報は、さまざまな犯罪プロファイルにとって価値があり、より洗練されたものもありますが、ほとんどが詐欺師にとって価値があります。 アカウントごとに一意のパスワード、多要素認証、およびESETなどの優れたセキュリティソフトウェアを使用すると、自分自身を保護するのに役立ちます。 また、パスワードを思い出せない場合や、一意で複雑なパスワードを作成できない場合は、パスワードマネージャーを検討してください」とESETのチーフセキュリティエバンジェリストであるTonyAnscombe氏は付け加えます。
